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@ Die Erfindung schafft ein Verfahren zur Identifikation ei- 
ner physikalischen Einheit (M) in einem offenen, drahtlo- 
sen Telekommunikationsnetzwerk durch eine Prufeinrich- 
tung (P) mit den Schritten: Speichern einer geheimen 
Identitat (SIMEI) und einer offenen Identitat (IMEI) in der 
physikalischen Einheit (M); Erzeugen eines ersten Para- 
meters (CHv) in der Prufeinrichtung (P); Senden einer 
Identifikationsaufforderung (IR) mit dem ersten Parame- 
ter (CHv) von der Prufeinrichtung (P) an die physikalische 
Einheit (M); Erzeugen einer elektronischen Unterschrift 
(SIGt) durch eine erste Krypto-Funktion (F3) aus der ge- 
heimen Identitat (SIMEI) und mindestens dem ersten Pa- 
rameter (CHv) in der physikalischen Einheit (M) und Sen- 
den der erzeugten elektronischen Unterschrift (SIGt) und 
der offenen Identitat (IMEI) an die Prufeinrichtung (P); Er- 
zeugen der geheimen Identitat (SIMEI) aus einem offenen 
Schlussel (EMIGK) und der gesendeten offenen Identitat 
(IMEI) in der Prufeinrichtung (P); Erzeugen einer entspre- 
chenden elektronischen Unterschrift (SIGv) durch die er- 
CD ste Krypto-Funktion (F3) aus der erzeugten ersten gehei- 
CM men Identitat (SIMEI) und mindestens dem ersten Para- 
CO meter (CHv) in der Prufeinrichtung (P); und Identifizieren 
(O der physikalischen Einheit (M) durch einen Vergleich der 
CM gesendeten elektronischen Unterschrift (SIGt) und der er- 
q zeugten entsprechenden elektronischen Unterschrift 
S (SIGv) in der Prufeinrichtung (P). 
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Beschreibung 

STAND DER TECHNIK 

[0001] Die vorliegende Erfindung betrifft ein Verfahren 5 
zur kryptografisch priifbaren Idenlifikation einer physikali- 
schen Einheit in einem offenen, drahtlosen Telekommunika- 
lionsnetzwerk. 

[0002] Obwohl auf beliebige Telekommunikationsein- 
richtungen anwendbar, werden die vorliegende Erfindung, 10 
sowie die ihr zugrundeliegende Problematik in Bezug auf 
Mobilfunksysteme erlautert 

[0003] GSM-Mobilfunksysteme und diese betreffende 
kryptographische Verfahren sind z. B. in Asha Mehrotra, 
"GSM System Engineering", Artech Haus Pub., 1996, oder 15 
in D. R. Stinson, "Cryptography Theory and Practice", CRC 
Press, 1995, beschrieben. 

[0004] Die Identitat eines mobiien Terminals bzw. 
(End)gerats wird allgemein als IMEI (International Mobile 
Equipment Identity) bezeichnet. Sie definiert ein einziges 20 
Gerat individuell und liefert dafur eine korapiette eindeutige 
Spezifikation. 

[0005] Fig. 7 ist eine schematische Darstellung eines be- 
kannten Identifikationsmechanismus eines Mobiltelefons 
gegenuber einem Netzwerkbetreiber. 25 
[0006] In Fig. 7 bezeichnet M ein Mobiltelefon mit einer 
zentralen Verarbeitungseinheit 1 und einem Identitatsmodul 
2, welcher einen zugriffssicheren Bereich TA aufweist, in 
dem die Identitat IMEI gespeichert ist. 

[0007] Die momentane Erkennung eines solchen Gerates 30 
M (Mobile Equipment) basiert heute im GSM-System dar- 
auf, dass das Gerat M sich durch seine IMEI offen vorstellt. 
Es wird gefordert, daB die Gerathersteller dafur sorgen sol- 
len, daB IMEI im Gerat M nicht modifizierbar ist, und daB 
die Software des Gerates M immer nach Aufforderung des 35 
Netzes nur die richtige, im Gerat gespeicherte IMEI liefert. 
[0008] Der Einsatz im gestrichelten Rahmen von Fig. 1 
zeigt eine Darstellung fur die allgemeine Implementierung 
dieses Identifikationsmechanismus. Nach einer Identitatsan- 
frage ("Identity request") IR liefert das Gerat M den Para- 40 
meter IMEI, der vom Hersteller IO in eine geschiitzte Spei- 
cherzelle eingepragt worden ist, als Reaktion an den Netz- 
werkbetreiber. 

[0009] Dieses Verfahren ist leicht zu falschen. Ein Softwa- 
resprung J im Software-Identifikationssystem SS kann (wie 45 
in Fig. 1 zu sehen) jede andere Identifikation IMEr anstelle 
der korrekten Identifikation IMEI liefern. Dies ist immer 
dann moglich, wenn man die Software des Gerates M an- 
dem kann, was iiblicherweise leicht ist, oder wenn man die 
Identitat IMEI andern kann, was in der Regel etwas schwie- 50 
riger ist. Das groBte Problem dabei ist aber, dass geklonte 
Gerate nach Belieben eine Identitat IMEI liefern konnen. 
Dabei braucht man nur einmal das Netz abzuhoren und eine 
legale IMEI in Erfahrung zu bringen, da IMEI stets offen ge- 
sendet wird. Man kann aber auch legitime IMEI-Identifika- 55 
tionen selber generieren, da die Einstellung bekannt isL So- 
mit bietet diese Art der Identifikation keinen besonderen Si- 
cherheitsstandard. 

[0010] Fig. 8 ist eine schematische Darstellung eines wei- 
teren bekannten Identifikationsmechanismus eines Mobilte- 60 
lefons gegenuber einem Netzwerkbetreiber nach der Chal- 
lenge & Response-Technik. 

[0011] Gesicherte Identifikation durch die sogenannte 
Challenge & Response-Technik ist in Kryptosystemen eine 
bekannte Technik, um die Identitat eines Gerats festzustel- 65 
len. 

[0012] Die Technik baut, wie in Fig. 8 dargestellt, auf die 
Frage und Antwort auf. Die Priifstation (z. B. eine Basissta- 
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tion des Netzwerkbetreibers) P sendet an das gepriifte Gerat 
M eine Idenufikationsanfrage AR mit einer in einem Zu- 
fallsgenerator RG erzeugten Zufalls-Symbolfolge RAND 
"challenge pattern" aus 128 Bits und fordert von ihm eine 
bestimmte Reaktion ARE "Response" mit einem Datenwort 
SRES aus 32 Bits, das nachweist, daB das gepriifte Gerat M 
einen bestimmten Geheimwert mit 128 ebenso wie die 
Priifstation P Bits besitzt, welcher zusammen mit RAND 
durch eine Abbildung A3 zu einem Priifergebnis SRES ver- 
kniipfbar ist, das vom gepriiften Gerat M an die Priifstation 
P retoumiert wird. 

[0013] Die Abbildung A3 ist eine stark nicht lineare Ab- 
bildung, die sehr schwer umkehrbar ist (oft als Einweg 
Funktion bezeichnet), wie in Asha Mehrotra aaO. darge- 
stellt. Die Abbildung A3 wird in der Regel als ein Block- 
ChifTrierverfahren ausgewahlL Die beiden, Priifer P und Ge- 
prufter M, erhalten den gleichen Response SRES, falls die 
beiden geheimen Schlussel Ki beim Priifer P und beim Ge- 
priiften M identisch sind. In diesem Fall ist das Identifizie- 
rungsresultat ARES positiv, ansonsten negativ. 
[0014] Dieser Vorgang kann mehrmals mit unterschiedli- 
chen Zufallswerten RAND wiederholt werden, um die Si- 
cherheit zu erhohen. Diese Verfahren wird schon im GSM- 
System eingesetzt, aber nur um einen Benutzer durch seine 
Benutzerkarte USLM zu identifizieren. Durch zunehmende 
Bedrohung durch Ooning (Nachbau) und Diebstahl von 
Mobilfunkgeraten ist die Notwendigkeit gestiegen, einen 
Mechanismus im Mobilgerat zu integrieren, der das Gerat 
veranlasst, sich selbst zu identifizieren, und somit gestoh- 
lene sowie geklonte oder nicht zertifizierte Gerate in einem 
Netz zu erkennen. Dies erfordert aber die Kenntnis des Pa- 
rameters Kj durch Priifer und Gepriiften. Da es aber in einem 
drahdosen Netz viele Service-Anbieter und viele Hersteller 
gibt, sind komplexe Verwaltung und Austausch aller Kfs im 
Netz zwischen Hersteller und Netzbetreiber notwendig. 
[0015] Die Anzahl der zu identifizierenden Einheiten so- 
wie deren Hersteller ist in heutigen Kommunikationsnetzen 
groB und andert sich laufend. Dies erhoht den Verwaltungs- 
und Wartungsaufwand weiter. 

VORTETLE DER ERFINDUNG 

[0016] Das erfindungsgemaBe Verfahren mit den Merk- 
malen des Anspruchs 1 bzw. die entsprechende Vorrichtung 
nach Anspruch 7 weisen gegenuber dem bekannten Lo- 
sungsansatz den Vorteil auf, dass ein auf der C & R-Technik 
basierender Identifikationsmechanismus geschaffen wird, 
der keine hohen Verwaltungs- und Wartungsaufwand erfor- 
dert Die Erfindung ermoglicht die Identifikation einer Netz- 
einheit durch eine moglichst einfache im Netz vorhandene 
Hardwareinfrastruktur mit moglichst einfacher Verwaltung 
und moglichst wenig Kommunikation. 
[0017] Die der vorliegenden Erfindung zugrundeliegende 
Idee besteht darin, daB nach einer modifizierten Challenge 
Response Technik uberpriift wird,_ob eine. physikalische 
Einheit eine bestimmte geheime Identitat enthalt, ohne diese 
Identitat zu lesen, und auch ohne diese Identitat vorher zu 
kennen. Damit wird die Echtheit der Identitat der physikai- 
schen Einheit bzw. des Gerates bewiesen. Das erfindungsge- 
maBe Verfahren beruht auf einer Geheim-Kryptographie- 
Technik in Verbindung mit einer Anordnung von bestimm- 
ten Hardware Einheiten und mit einem Protokoll. 
[0018] Das erfindungsgemaBe Verfahren basiert auf der 
Speicherung von einer einzigartigen geheimen Identitat in 
einem geschutzten Register innerhalb des zu identifizieren- 
den Gerats und eines geheimen Herstellerschlussels inner- 
halb einer Vorrichtung, z. B. einer Smartcard, beim Priifen- 
den. Die geheime Identitat bzw. der geheime Hersteller- 
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schliissel wird durch eine Hardware-Einrichtung nicht les- 
bar gemacht, wie z. B. in AshaMehrotra, "GSM System En- 
gineering", Artech Haus Pub., 1996, offenbart. Das Gerat isi 
aber in der Lage, von sich Information zu geben, die die ein- 
zigartige Identitat des Gerates durch die Technik von Chal- 
lenge & Response (C & R) nachweisL 
[0019] Die Technik der Challenge & Response ist eine an 
sich bekannte Technik und findet verbreitete Anwendung in 
kryptographisch gesicherten Systemen zwecks Identifika- 
tion. Die besonderen Merkmale dieses Verfahrens sind: 

- kein Register fur die Identitaten der einzelnen Gerate 
wird benotigt; 

- keine gemeinsame Kenntnis der geheimen Identitat 
durch Priifer und Gepriifter ist notig; 

- die Losung ist angepasst an die Gegebenheiten und 
Umgebung von Mobiltelefonen mit vielen Dienstan- 
bietem und Herstellern, die international arbeiten und 
schwachen Informationsaustausch und Koordinations- 
moglichkeiten haben; und 

- die Technik baut Einheiten auf, die schon im System 
vorhanden sind. 

[0020] Die Erfindung ist eine Erweiterung der Challenge 
Response Technik, um die Identification weniger komplex 
und dadurch flexibel und kostengunstiger zu gestalten. Die 
neue Technik nutzt in einer bevorzugten Ausgestaltung In- 
ternet Server und modeme Smart-Card-Technik. 
[0021] In den Unteranspruchen finden sich vorteilhafte 
Weiterbildungen und Verbesserungen des Gegenstandes der 
Erfindung. 

[0022] GemaB einer bevorzugten Weiterbildung wird der 
offene Schliissel durch eine zweite Krypto-Funktion aus ei- 
nem ersten geheimen Schliissel und einem zweiten gehei- 
men Schliissel erzeugt. 

[0023] GemaB einer weiteren bevorzugten Weiterbildung 
wird die geheime Identitat durch eine dritte Krypto-Funk- 
tion aus der offenen Identitat und dem zweiten geheimen 
Schliissel erzeugt 

[0024] GemaB einer weiteren bevorzugten Weiterbildung 
wird in der Prufeinrichtung der erste geheime Schliissel ge- 
speichert wird und die geheime Identitat durch folgende 
Schritte in der Prufeinrichtung erzeugt: Erzeugen des zwei- 
ten geheimen Schliissels durch die Inverse zur zweiten 
Krypto-Funktion aus dem ersten geheimen Schliissel und 
dem offenen Schliissel; und Erzeugen der geheimen Identi- 
tat durch die dritte Krypto-Funktion aus aus der offenen 
Identitat und dem erzeugten zweiten geheimen Schliissel. 
[0025] GemaB einer weiteren bevorzugten Weiterbildung 
wird der offene Schliissel iiber das Internet an die Prufein- 
richtung gesendet 

[0026] GemaB einer weiteren bevorzugten Weiterbildung 
erfolgen ein Erzeugen eines zweiten Parameters in der phy- 
sikalischen Einheit; ein Senden des zweiten Parameters an 
die Prufeinrichtung;-und ein Erzeugen der- elektronischen 
Unterschrift und der entsprechenden elektronischen Unter- 
schrift aus der geheimen Identitat und dem ersten und zwei- 
ten Parameter. 

[0027] GemaB einer weiteren bevorzugten Weiterbildung 
werden der erste und der zweite Parameter durch eine exklu- 
sive ODER-Funktion verkniipft 

[0028] GemaB einer weiteren bevorzugten Weiterbildung 
werden der erste und der zweite Parameter multiplexiert und 
anschlieBend durch eine exklusive ODER-Funktion ver- 
kniipft, wobei es eine Riickkopplung vom Ausgang der er- 
sten Krypto-Funktion zur exklusiven ODER-Funktion gibt. 
Eine derartige nicht-lineare Funktion erhoht die Sicherheit 
zusatzlich. 



[0029] GemaB einer weiteren bevorzugten Weiterbildung 
werden der erste und/oder zweite Parameter als Zufallsgro- 
Ben vorgesehen. 

[0030] GemaB einer weiteren bevorzugten Weiterbildung 
5 ist das Telekommunikationsnetzwerk ein Mobiltelefonsy- 
stem. 

[0031] GemaB einer weiteren bevorzugten Weiterbildung 
sind die erste, zweite und dritte Krypto-Funktion die gleiche 
Funktion. 

10 [0032] GemaB einer weiteren bevorzugten Weiterbildung 
ist die gleiche Funktion eine Standardfunktion. 
[0033] GemaB einer weiteren bevorzugten Weiterbildung 
werden die Schritte e) und f) auf einer Smard-Card in der 
Prufeinrichtung durchgefuhrt. 

15 

ZEICHNUNGEN 

[0034] Ausfuhrungsbeispiele der Erfindung sind in den 
Zeichnungen dargestellt und in der nachfolgenden Beschrei- 
20 bung naher erlautert. 
[0035] Es zeigen: 

[0036] Fig. 1 eine sehematische Darstellung der Teilneh- 
mer und des Systemaufbaus bei einer ersten Ausfuhrungs- 
form des erfindungsgemaBen Verfahrens; 

25 [0037] Fig. 2 eine sehematische Darstellung der Teilneh- 
mer und eines speziellen Systemaufbaus bei der ersten Aus- 
fuhrungsform des erfindungsgemaBen Verfahrens; 
[0038] Fig. 3 das Grundprinzip der ersten Ausfiihrungs- 
form des erfindungsgemaBen Verfahrens; 

30 [0039] Fig. 4 die Initialisierungsvorprozedur INI bei der 
ersten Ausfuhrungsform der vorliegenden Erfindung; 
[0040] Fig. 5 das Identitatsmodul auf der Seite des Mobil- 
telefons und dessen Funktion bei der ersten Ausfuhrungs- 
form der vorliegenden Erfindung; 

35 [0041] Fig. 6 die Smard-Card auf der Seite des Prufers 
und deren Funktion bei der ersten Ausfuhrungsform der vor- 
liegenden Erfindung; 

[0042] Fig. 7 eine sehematische Darstellung eines be- 
kannten Identifikationsmechanismus eines Mobiltelefons 
40 gegeniiber einem Netzwerkbetreiber, und 

[0043] Fig. 8 eine sehematische Darstellung eines weite- 
ren bekannten Identifikationsmechanismus eines Mobiltele- 
fons gegeniiber einem Netzwerkbetreiber nach der Chal- 
lenge & Response-Technik. 

45 

BESCHRED3UNG DER AUSFUHRUNGSBEISPIELE 

[0044] In den Figuren bezeichnen gleiche Bezugszeichen 
gleiche oder funktionsgleiche Komponenten. 
50 [0045] Fig. 1 zeigt eine sehematische Darstellung der 
Teilnehmer und des allgemeinen Systemaufbaus bei einer 
ersten Ausfuhrungsform des erfindungsgemaBen Verfah- 
rens. 

[0046] Die Identitaten fur die Systemteilnehmer werden 
-55- von-vielen Identitatsgeneratoren (Identitatsinhaber) erzeugt.. 
Die Anzahl der Identitatsgeneratoren nach Fig. 1 ist n (na- 
turliche Zahl), also sind die Identitatsgeneratoren IGi, IG 2 
. . . IG D . Gl, G2 bezeichnen verschiedene Gruppen fur den 
Identitatsgenerator IGi- 
60 [0047] Die Anzahl der Identitatspriifer ist m (natiirliche 
Zahl), also sind die Identitatspriifer XP { . . . JP m . OD in Fig. 1 
bezeichnet ein offenes Verzeichnis mit SCI, . . SCn als n 
feri verfiigbaren Smart-Cards. 

[0048] Fig. 2 zeigt eine sehematische Darstellung der 
65 Teilnehmer und eines speziellen Systemaufbaus bei der er- 
sten Ausfuhrungsform des erfindungsgemaBen Verfahrens. 
[0049] Hierbei handelt es sich um ein Mobiltelefonsystem 
mit n Mobiltelefon-Herstellem als Identitatsgeneratoren Mi 
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. . . M n fur individuelle Identifikationen IMEI1, IMEI2, etc. 
Im System sind m Identitatspriifer als Dienstanbieter OPi 
. . . OP m . Hier wird darauf hingewiesen, dass die Identitat 
nicht ausscblieBlich vom Hersteller generiert und gepriift 
werden kann, sondern auch von anderen Quellen Auth, wie 5 
eine Behorde oder weitere Systemadministratoren. 
[0050] Jeder Dienstanbieter OPi ... OP m und/oder Sy- 
stemuberwacher oder Administrator soli in der Lage sein, 
ohne groBe Datenhaltung, die Identitat eines Funktelefons, 
genannt IMEI (International Mobile Equipment Identity), 10 
auf Echtheit zu priifen. 

[0051] Echtheit bedeutet hier, dass diese Gerate tatsach- 
lich vom Hersteller stammen, und dass der Hersteller die 
IMEI vergeben hat, was hier indirekt bedeutet, dass der Her- 
steller fur die Qualitat des Gerats und seine technischen 15 
Merkmale beim Verlassen der Fabrik hafteL 
[0052] Fig. 3 zeigt das Grundprinzip der ersten Ausfuh- 
rungsform des erfindungsgemaBen Verfahrens. 
[0053] Diese Ausfuhrungsform erlaubt jedem Dienstan- 
bieter OPi . . . OP m oder jeder Behorde oder Dritten die 20 
Echtheit der Identitat fur jedes Gerat M im Netz zu uberpru- 
fen, ohne das Mobiltelefon bzw. Gerat zu sehen. Der Priifer 
P braucht femer keine Abfrage bei dem Hersteller und 
braucht auch keine Liste von Serien- oder IMEI-Nummern 
und deren einzelnen Geheimschlusseln. Der Priifer P 25 
braucht lediglich eine elektronische Karte oder Smard-Card 
MSG vom Hersteller (oder vom IdentitatsgeberAinhaber), 
und braucht nur einmal ein ofFenes Verzeichnis OR des Her- 
stellers (z. B. Internet) abzufragen. Jeder Hersteller bietet 
eine Smart-Card fur jeden Priifer P. Diese Smart-Cards MSG 30 
sind als ein Teil des offenen Verzeichnis OR zu betrachten, 
wie in Fig. 3 dargestellt ist 

[0054] Das Identifizierungsverfahren gemaB dieser Aus- 
fuhrungsform lauft prinzipiell folgendermaBen ab: 
Der Identitatsgeber initialisiert das Mobiltelefon M in einer 35 
von ein em Zertifizierungsbereich CC ausgefuhrten Vorpro- 
zedur INI, indem er es mit einer geheimen Identitat SIMEI 
versieht, welche in einem beschreibbaren, aber nicht-lesba- 
ren Speicher im Identifizierungsmodul 2' des Gerats M ab- 
gelegt wird. Weiterhin erhalt das Identifizierungsmodul 2' 40 
die Fahigkeit, auf eine Anfrage hin eine vorbestimmte Iden- 
tifizierungsprozedur abzuarbeiten. Dabei sollte das Identifi- 
zierungsmodul 2' ein lebenswich tiger Bestandteil des Gerats 
M sein, was bedeutet, daB ein Entfemen bzw. Austauschen 
des Identifizierungsmoduls 2' zu einem Funktionsverlust 45 
fuhrt. Weiterhin erhalt das Gerat M eine offen ubertragbare 
Identitat IMEI versieht, welche in einem nicht-fliichtigen, 
nach Erstbeschreibung nicht modifizierbaren Speicher des 
Gerats M abgelegt wird. 

[0055] Der Priifer Pfordert die Identitat des Mobiltelefons 50 
M durch eine Identitatsanfrage (Identity Request) IR, mit 
der zusammen ein Parameter CHv iibermittelt wird. 
[0056] Das Mobiltelefon M sendet darauf seine Identitat 
IMEI zusammen mit einer elektronischen Unterschrift SIGt 
-des.IdenUtatsgebers.(HersteUers).und.einem,weiteren.Para^_5j. 

meter CHt an den Priifer P. 

[0057] Der Priifer P fragt einen Hersteller-Prufschlussel 
EMIGK vom offenen Verzeichnis OR im Internet ab. 
[0058] Der Priifer P uberzeugt sich von der Unterschrift 
des Hers tellers durch die Smart-Card MSG vom Hersteller 60 
und entscheidet, ob die Identitat echt ist oder nicht Dazu er- 
zeugt er mittels der Parameter IMEI, CHv, CHt und EMIGK 
eine entsprechende elektronische Unterschrift SIGv und 
vergleicht diese mit der ubermittelten elektronischen Unter- 
schrift SIGt. Stimmen beide elektronischen Unterschriften 65 
SIGt und SIGv uberein, ist die Identitat echt, ansonsten 
nicht. 

[0059] Im Detail werden die Systemvorgange und Mecha- 



nismen nachstehend anhand von Fig. 4 bis 6 erlautert. 
[0060] Fig. 4 zeigt die Initialisierungsvorprozedur INI bei 
der ersten Ausfuhrungsform der vorliegenden Erfindung. 
[0061] Der Hersteller/Identitatsgeber vergibt die Identitat 
IMEI fur sein Gerat M als Zusatz zur Seriennummer nach 
dem Verfahren, die im Standard vereinbart isL 
[0062] Der Hersteller schreibt im Gerat M in ein geschutz- 
tes Register die erste geheime Identitat SIMEI, die der Her- 
steller durch eigenen geheimen Herstellerschlussel MIGK 
(Master Identity Generator Key) erzeugt. Eine Einwegabbil- 
dung Fl generiert die erste geheime Identitat SIMEI aus der 
Identitat IMEI und dem Herstellerschlussel MIGK: 

SIMEI = Fl (IMEI, MIGK) (1) 

[0063] Jeder Hersteller kann fur jede Gerategruppe ein 
oder mehrere solcher MIGK Schlussel vorsehen. 
[0064] Der Hersteller veroffentlicht einen offentlichen 
Schlussel EMIGK in seiner offenen Internet-Homepage 
OMHP. EMIGK ist ein chiffriertes Abbild vom Hersteller- 
schlussel MIGK durch die Funktion F2 wobei: 

EMIGK = F2 (MIGK, SMMK) (2) 

[0065] Dabei ist SMMK (Secret Manufacturer Master- 
Key) der Hauptgeheimschlussel des Herstellers. Fur jeden 
Gerattyp kann der Hersteller einen solchen Eintrag vorsehen 
oder einen Einzeleintrag fur alle Hersteller Typen verwen- 
den. 

[0066] Der Hersteller halt die beiden Schlussel SMMK 
und MIGK geheim. Ailerdings liefert der Hersteller die 
Smart-Card MSG an den oder die Priifer P, welche SMMK 
in einem geschutzten und nicht lesbaren Register enthalt 
(vgl. Fig. 6) und die inverse Funktion zu F2, also F2~\ ent- 
halt, die aus SMMK und EMIGK den Herstellerschlussel 
MIGK erzeugen kann. 

[0067] Alle Zwischenergebnisse in der Smart-Card MSG 
(Fig. 6) und im Identifizierungsmodul 2' (Fig. 5) sind physi- 
kalisch nicht erreichbar (d. h. weder zum Schreiben noch 
zum Lesen). Dies sollte bei der Herstellung gewahrleistet 
werden. 

[0068] Der Hersteller kann zur Sicherheit die Smart-Card 
MSG selbst herstellen, um die o. g. Bedingungen zu erful- 
len, oder diese von einem vertrauenswurdigen DriUen bezie- 
hen. 

[0069] Fig. 5 zeigt das Identitatsmodul auf der Seite des 
Mobiltelefons und dessen Funktion bei der ersten Ausfuh- 
rungsform der vorliegenden Erfindung. 
[0070] Der Priifer P, z. B. der Netzoperator oder die Be- 
horde, fragt das Gerat M nach seiner Identitat und der An- 
frage ER und fordert eine Signatur fur den mitgelieferten Zu- 
fallswert CHv. 

[0071] Das Gerat M generiert in seinem Identitatsmodul 2' 
die elektronische Unterschrift SIGt als Funktion der ersten 
ge heimen Identitat SIMEI und CHv und eines neuen Zu- 
fallswerts CHt, der durch das Gerat M generiert wird, mit- 
tels der Krypto-Funktion F3: 

SIGt = F3 (SIMEI, CHv, CHt) (3) 

[0072] Die elektronische Unterschrift SIGt wird zusam- 
men mit CHt und IMEI an den Priifer P als beglaubigte Iden- 
titat gesendet, wie in Fig. 3 dargestellt ist. CHv liegt bereits 
beim Priifer P vor, da es dort generiert wurde. 
[0073] Der Priifer P berechnet die entsprechende elektro- 
nische Unterschrift SIGv aus IMEI, CHt, CHv durch die 
gleiche Krypto-Funktion F3: 
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SIGv = F3 (IMEI, CHv, CHt) (4) 



als authentisch 



[0074] Falls SIGt = SIGv, dann wird 
betrachteL 

[0075] Im Gerat M ist ein geschiitzter Bereich eingerich- 
tet, der ein . nicht- lesbares Register mil SIMEI und der 
Krypto-Abbildung F3 sowie ein Register mit IMEI, das vor- 
zugsweise nicht modifizierbar ist, enthalL Dazu enthalt das 
Gerat M einen Zufallsgenerator CHt Alle diese Einheiten 
werden in einer geschutzten physikalischen Einheit, hier im 
Identitatsmodul 2\ zusammen integriert, wie in Fig. 5 darge- 
stellL Zur Erzeugung der elektronischen Unterschrift SIGt 
des Gerats M werden folgende Schritte getaugU 
Ein Zuf allswert CHt wird neu generiert. 
[0076] CHv und CHt werden zusammen mit SIMEI durch 
die Krypto-Einweg-Funktion F3 verknupft Z. B. kann CHt 
XOR CHv erst erzeugt und dann durch F3 mit SIMEI als 
Schlussel abgebildet werden, wie in Fig. 5 gezeigt ist. Es ist 
ebenfalls moglich, wie in Fig. 5 gezeigt, CHv und CHt zu 
multiplexen (Multiplexer-Steuerung nicht gezeigt) und dann 
dem XOR (+) zuzufuhren, wobei es eine Riickkopplung 
vom Ausgang von F3 zum XOR (+) gibt 
[0077] Das Gerat M liefert dann als priifbaren Identitats- 
vektor das folgende Prufvektor-Tupel an den Priifer: 

Priifvektor = (IMEI, SIGt, CHt, CHv) 

[0078] Durch die Identitat IMEI, die als offene Identitat 
gilt, werden der Geratetyp und -hersteller bekannL Der Prii- 
fer P kann dann leicht von den ofFenen Verzeichnis OR des 
Herstellers den dazugehorigen offenen Priifschussel 
EMIGK vom Internet abholen. Altemativ konnte der Priifer 
eine Liste vom Hersteller verwalten und von Zeit zu Zeit ak- 
tualisieren, um im Internet ZugrifFe zu sparen, und nur zum 
Internetverzeichnis der Hersteller gehen, falls der Hersteller 
neue TVpen bietet. 

[0079] Fig. 6 zeigt die Smard-Card auf der Seite des Pre- 
fers und deren Funktion bei der ersten Ausfuhrungsform der 
vorliegenden Erfindung. 

[0080] Der Priifer P empfangt vom Mobiltelefon M den 
Priifvektor und iiberpriift, ob die Signatur SIGt die Identitat 
des Gerats nachweist, also SIGv = SIGt gilt. Der Priifer P 
hat danach den Beweis, daB die vom Gerat M behauptete 
IMEI tatsachlich vom Hersteller stammt. Fiir diesen Zweck 
ist die Smart-Card MSC vom Hersteller notwendig, die ver- 
fugbar fur jeden Priifer P sein soil. Diese Smart-Card MSC 
nach Fig. 6 enthalt alle drei Abbildungen Fl, F2~ l und F3 
sowie ein geschiitztes einmal beschreibbares Register mit 
dem geheimen Schlussel SMMK, als Hersteller/Identitats- 
geber Master Geheimschlussel (Secret Manufacturer Master 
Key). SMMK wird, wie gesagt, durch Hersteller/Idendtats- 
trager in die Smart-Card MSC eingeschrieben. SMMK ist 
physikalisch nicht lesbar. Die geschutzten Schlussel im iib- 
rigen folgende Regeln erfullen: 



1. Sie sind physikalisch nicht lesbar, und zwar vor- 
zugsweise auch bei destruktivem Offnen der Vorrich- 
tung. 

2. Sie sind nur uberschreibbar, wenn der Schreiber den 
aktuellen Inhalt kennL 

[0081] Der Priifer P fuhrt den Priifvektor der Smart-Card 

MSC zu und fiihrt folgende Operationen durch: 

[0082] Der Priifer P holt vom Internet den Hersteller-Priif- 

schlussel EMIGK, nachdem er IMEI bzw. Type des Gerats 

und Name des Herstellers vom Gerat M erhalt 

[0083] Der Priifer P gibt die empfangenen Komponenten 

des Prufvektors zusammen mit EMIGK in die Smart-Card 



MSC ein. Die Smart-Card MSC dechiffriert erst EMIGK 
mit Hilfe des Schliissels SMMK und der dechiffrierten 
Funktion F2~ l . Daraus ergibt sich der Hersteller/Identitats- 
geber Master Geheimschlussel MIGK. Die Hard- und Soft- 
5 ware der Smart-Card MSC durfen dabei das Lesen von 
MIGK nicht ermoglichen. 

[0084] Die erste geheime Identitat SIMEI wird dann gene- 
riert Dies geschieht durch Verwendung von MIGK und 
IMEI uber die Funktion Fl, wie Fig. 6 zeigt. Die Hard- und 
10 Software der Smart-Card MSC durfen wiederum das Lesen 
von SIMEI nicht ermoglichen. 

[0085] SIMEI wird intern mit den beiden ZufallsgroBen 
CHt, CHv uber die Funktion F3 in gleicher Art und Weise 
wie in der Smart-Card MSC verknupft, um die elektronische 
15 Unterschrift SIGv zu bekommen. 

[0086] Falls SIGv = SIGt, dann gilt die Identitat IMEI als 
echt, und die Identitat des Gerats ist akzeptiert, ansonsten ist 
die Identifizierung gescheitert 

[0087] Obwohl die vorliegende Erfindung vorstehend an- 
20 hand eines bevorzugten Ausfuhrungsbeispiels beschrieben 
wurde, ist sie darauf nicht beschrankt, sondem auf vielfal- 
tige Weise modifizierbar. 

[0088] Fiir die Abbildungen Fl , F2 und F3 kann die stan- 
dardisierte Kryptofunktion im Mobiltelefonsystem verwen- 
25 det werden. In diesem FaU wird Fl = F2 = F3 = SF (Stan- 
dard-Funktion) angenommen. 

[0089] Das vereinfacht den Aufbau der Smart-Card MSC, 
da soiche Smart-Cards ohnehin im System existieren, kon- 
nen die Hersteller soiche verwenden. Da auch SF im Mobil- 
30 telefon vorhanden ist, resuitiert daraus eine im Endeffekt 
sehr effekti ve Impiementierung . 

Patentanspriiche 

35 1. Verfahren zur Identifikation einer physikalischen 
Einheit (M) in einem offenen, drahtlosen Telekommu- 
nikationsnetzwerk durch eine Priifeinrichtung (P) mit 
den Schritten: 

a) Speichern einer geheimen Identitat (SIMEI) 
40 und einer offenen Idenutat (IMEI) in der physika- 
lischen Einheit (M); 

b) Erzeugen eines ersten Parameters (CHv) in der 
Priifeinrichtung (P) 

c) Senden einer Idenufikationsaufforderung (IR) 
45 mit dem ersten Parameter (CHv) von der Priifein- 
richtung (P) an die physikalische Einheit (M); 

d) Erzeugen einer elektronischen Unterschrift 
(SIGt) durch eine erste Krypto-Funktion (F3) aus 
der geheimen Identitat (SIMEI) und mindestens 

50 dem ersten Parameter (CHv) in der physikali- 

schen Einheit (M) und Senden der erzeugten elek- 
tronischen Unterschrift (SIGt) und der offenen 
Identitat (IMEI) an die Priifeinrichtung (P); 

e) Erzeugen der geheimen Identitat (SIMEI) aus 
_5S einem^offenen-Schlussel(EMIGK)-uncider-gesen= 



60 



65 



deten offenen Identitat (IMEI) in der Priifeinrich- 
tung (P); 

f) Erzeugen einer entsprechenden elektronischen 
Unterschrift (SIGv) durch die erste Krypto-Funk- 
tion (F3) aus der erzeugten ersten geheimen Iden- 
titat (SIMEI) und mindestens dem ersten Parame- 
ter (CHv) in der Priifeinrichtung (P); und 

g) Identifizieren der physikalischen Einheit (M) 
durch einen Vergleich der gesendeten elektroni- 
schen Unterschrift (SIGt) und der erzeugten ent- 
sprechenden elektronischen Unterschrift (SIGv) 
in der Priifeinrichtung (P). 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
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net, daB der offene Schlussel (EMIGK) durch eine 
zweite Krypto-Funknon (F2) aus einem ersten gehei- 
men Schliissel (SMMK) und einem zweiten geheimen 
Schlussel (MIGK) erzeugl wild. 

3. Verfahren nach einem der Anspriiche 1 oder 2, da- 5 
durch gekennzeichnet, daB die geheime Identitat (SI- 
MEI) durch eine dritte KryptoFunktion (Fl) aus der 
offenen Identitat (IMEI) und dem zweiten geheimen 
Schlussel (MIGK) erzeugt wird. 

4. Verfahren nach Anspruch 3, in Verbindung mit An- 10 
spruch 2, dadurch gekennzeichnet, daB in der Prufein- 
richtung (P) der erste geheime Schlussel (SMMK) ge- 
speichert wird und die geheime Identitat (SIMEI) 
durch folgende Schritte in der Prufeinrichtung (P) er- 
zeugt wird: 15 
Erzeugen des zweiten geheimen Schlussels (MIGK) 
durch die Inverse (F2~ l ) zur zweiten Krypto-Funktion 
(F2) aus dem ersten geheimen Schlussel (SMMK) und 
dem offenen Schlussel (EMIGK); und 

Erzeugen der geheimen Identitat (SIMEI) durch die 20 
dritte Krypto-Funktion (Fl) aus aus der offenen Identi- 
tat (IMEI) und dem erzeugten zweiten geheimen 
Schlussel (MIGK). 

5. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, daB der offene Schlussel 25 
(EMIGK) uber das Internet an die Prufeinrichtung ge- 
sendet wird. 

6. Verfahren nach einem der vorhergehenden Ansprii- 
che, gekennzeichnet durch die Schritte: 

Erzeugen eines zweiten Parameters (CHt) in der physi- 30 
kalischen Einheit (M); 

Senden des zweiten Parameters (CHt) an die Prufein- 
richtung (P); und 

Erzeugen der elektronischen Unterschrift (SIGt) und 
der entsprechenden elektronischen Unterschrift (SIGv) 35 
aus der geheimen Identitat (SIMEI) und dem ersten 
und zweiten Parameter (CHv; CHt). 

7. Verfahren nach Anspruch 6, dadurch gekennzeich- 
net, daB der erste und der zweite Parameter (CHv; CHt) 
durch eine exklusive ODER-Funktion (+) verknupft 40 
werden. 

8. Verfahren nach Anspruch 6, dadurch gekennzeich- 
net, daB der erste und der zweite Parameter (CHv; CHt) 
multiplexiert und anschlieBend durch eine exklusive 
ODER-Funktion (+) verknupft werden, wobei es eine 45 
RUckkopplung vom Ausgang der ersten Krypto-Funk- 
tion (F3) zur exklusiven ODER-Funktion (+) gibt 

9. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, daB der erste und/oder 
zweite Parameter (CHv; CHt) als ZufallsgroBen vorge- 50 
sehen werden. 

10. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB das Telekom- 
munikationsnetzwerk ein Mobiltelefonsystem ist 

-HT-Verfahren-nach-einem-der— vorhergehenden— An — 55 

spriiche, dadurch gekennzeichnet, daB die erste, zweite 
und dritte Krypto-Funktion (Fl; F2; F3) die gleiche 
Funktion sind. 

12. Verfahren nach Anspruch 11, in Verbindung mit 
Anspruch 9, dadurch gekennzeichnet, daB die gleiche 60 
Funktion eine Standardfunktion ist. 

13. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB die Schritte d) 
und e) auf einer Smard-Card (MSC) in der Prufeinrich- 
tung (P) durchgefuhrt werden. 65 
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